Informazioni su Microsoft Entra Domain Services
Se è necessario distribuire carichi di lavoro dipendenti da Active Directory Domain Services in Azure, ma si vuole ridurre al minimo il sovraccarico associato alla distribuzione e alla gestione dei controller di dominio Active Directory ospitati nelle macchine virtuali di Azure, è consigliabile valutare l'implementazione di Microsoft Entra Domain Services. Microsoft Entra Domain Services è un servizio AD DS gestito da Microsoft che offre le funzionalità standard di Active Directory, come Criteri di gruppo, aggiunta a un dominio e supporto per protocolli quali Kerberos, NTLM e LDAP.
Il servizio è costituito da due controller di dominio Active Directory in una nuova foresta a dominio singolo. Quando si effettua il provisioning del servizio, la piattaforma Azure distribuisce automaticamente questi due controller di dominio nella rete virtuale di Azure designata. Inoltre, il servizio gestito Active Directory Domain Services sincronizza automaticamente utenti e gruppi dal tenant di Microsoft Entra associato alla sottoscrizione di Azure che ospita la rete virtuale. In effetti, il dominio di Microsoft Entra Domain Services conterrà gli stessi utenti e gruppi della relativa controparte di Microsoft Entra. Offre le funzionalità seguenti:
- È possibile aggiungere macchine virtuali di Azure al dominio di Active Directory Domain Services gestito se si trovano nella stessa rete virtuale o in un'altra rete virtuale connessa.
- Gli utenti di Microsoft Entra possono usare le credenziali esistenti per accedere a queste macchine virtuali di Azure.
Se si dispone di un dominio di AD DS in locale che esegue la sincronizzazione con lo stesso tenant di Microsoft Entra, gli utenti di AD DS in locale potranno accedere al dominio di Microsoft Entra Domain Services usando le credenziali esistenti.
Tuttavia, in questo scenario il dominio di Active Directory locale è distinto dal dominio di Active Directory implementato da Microsoft Entra Domain Services. I due domini di Active Directory hanno nomi di dominio diversi e set separati di oggetti utente, gruppo e computer, anche se gli oggetti utente e gruppo all'interno dell'ambito della sincronizzazione Microsoft Entra Connect hanno attributi corrispondenti.
Microsoft Entra Domain Services offre supporto per lo stesso set di protocolli di Active Directory Domain Services in locale. Con Microsoft Entra Domain Services è possibile eseguire la migrazione di applicazioni che dipendono da Active Directory Domain Services alle macchine virtuali di Azure senza dover distribuire e gestire controller di dominio aggiuntivi o stabilire la connettività con l'infrastruttura locale.
Esistono alcune differenze importanti tra Active Directory Domain Services e Microsoft Entra Domain Services. Ad esempio, Microsoft Entra Domain Services non consente di creare relazioni di trust o estendere lo schema. A seconda dell'origine, gli oggetti utente e gruppo possono dover essere gestiti in locale o nel tenant di Microsoft Entra corrispondente. Il supporto per Criteri di gruppo è limitato, con solo due oggetti Criteri di gruppo creati in precedenza, uno contenente le impostazioni del computer e un altro contenente le impostazioni utente. Inoltre, per quanto sia possibile eseguire associazioni LDAP e letture LDAP con Microsoft Entra Domain Services, non è disponibile alcun supporto per le scritture LDAP.